在一种实施方式中,至少部分基于指定的密钥扩展乘数在通信系统的用户设备中生成多个密钥。在用户设备中从通信系统的基站接收密钥标识符。用户设备根据接收的密钥标识符选择所述密钥中的一个特定密钥,并利用所述密钥中的所选择的一个密钥保护从所述用户设备发送到所述基站的数据。例如,所述密钥可以包括由所述用户设备响应于从所述基站接收的消息生成的密钥流的相应部分,其中所述密钥通过在所述基站中独立生成所述密钥流而由所述用户设备和基站共享。所述基站可以说明性地包括演进通用无线接入网络(E‑UTRAN)的演进节点B(eNB)。
【技术实现步骤摘要】
【国外来华专利技术】由用户设备和基站使用密钥扩展乘数来生成多个共享密钥
本专利技术大体上涉及通信系统,更具体地,但非排他地涉及这些系统内的安全性。
技术介绍
本部分介绍可能有助于更好地理解本专利技术的几个方面。因此,要在这个基础上阅读本部分的陈述,并且不应理解为承认什么是现有技术,或者什么不是现有技术。无线蜂窝背景下的通信系统标准包括例如被称为第三代伙伴合作计划(3GPP)的组织发布的长期演进(LTE)标准。由3GPP开发的LTE标准定义了LTE系统,该系统包括被称为演进分组核心(EPC)的基于互联网协议(IP)的分组核心。在示例LTE系统中,用户设备(例如,移动设备)通过空中接口与被称为演进型节点B(eNB)的基站进行通信。示例性地,eNB是LTE系统接入网络,诸如演进通用无线接入网络(E-UTRAN)的一部分。在当前实践中,用户设备和eNB之间的空中接口的安全性是使用例如3GPPTS33.401V12.12.0(2014-09),技术规范组服务和系统方面,3GPP系统架构演进(SAE),安全架构(Release12)中描述的技术实现的,所述文件通过引用并入本文。
技术实现思路
在一种实施方式中,至少部分基于指定的密钥扩展乘数在通信系统的用户设备中生成多个密钥。在用户设备中从通信系统的基站接收密钥标识符。用户设备根据接收的密钥标识符选择所述密钥中的一个特定密钥,并利用所述密钥中的所选择的一个密钥保护从所述用户设备发送到所述基站的数据。在另一种实施方式中,至少部分基于指定的密钥扩展乘数在通信系统的基站中生成多个密钥。基站选择所述密钥中的一个特定密钥,向用户设备发送选择的密钥的标识符,并利用所述密钥中所选择的一个密钥保护从所述基站发送到所述用户设备的数据。所述多个密钥示意性地包括由所述用户设备和基站二者独立生成的多个共享密钥,利用从所述共享密钥中选择的共享密钥保护通过所述用户设备和基站之间的空中接口发送的数据。作为示例,在一些实施方式中,所述密钥示例性地包括由所述用户设备响应于从所述基站接收的消息生成的密钥流的相应部分,所述密钥通过在所述用户设备和基站中独立生成所述密钥流而由所述用户设备和基站共享。在一些实施方式中,所述基站包括E-UTRAN的eNB,但是在其他实施方式中也可以使用其他类型的基站。在所述基站包括eNB的实施方式中,所述密钥可以说明性地包括KeNB密钥的索引序列,所述KeNB密钥的索引序列通过在所述基站中独立生成所述KeNB密钥的索引序列而由所述用户设备和基站共享,其中所述KeNB密钥的索引序列中的KeNB密钥的总数由密钥扩展乘数指定。在一些实施方式中,结合将与所述用户设备正在进行的通信的控制从所述基站转移至另一个基站,所述多个密钥中未使用的密钥被发送至所述其他基站。所述其他基站选择发送的所述密钥中的一个特定密钥,并将发送的密钥中的选择的一个密钥的标识符发送给所述用户设备。举例来说,发送的密钥中的选择的一个密钥被用于保护通过所述另一个基站和所述用户设备之间的空中接口发送的数据。在一些实施方式中,所述基站被配置为检测所述多个密钥中未使用的密钥的剩余数量达到指定最小值的条件,并响应于检测到的条件重复密钥生成。有利地,一种或多种说明性实施方式可以显著提高通信系统(例如,LTE系统)中密钥生成和选择的效率,而不会过度增加系统成本或复杂性。此外,所公开的技术可以直接适应于许多其他通信系统环境。借助附图和下面的详细描述,本文描述的实施方式的这些和其它特征和优点将变得更加明显。附图说明图1是说明性实施方式中的通信系统的框图。图2是说明性实施方式中的示例性用户设备和基站元件的更详细的视图。图3是说明性实施方式中的示例性密钥生成和选择过程的流程图。图4显示了用于在说明性实施方式中由用户设备和基站使用密钥扩展乘数生成多个共享密钥的一种可能的技术。图5显示了在说明性实施方式中由用户设备和基站执行的密钥生成和选择过程。具体实施方式这里将结合示例性通信系统和用于基于密钥扩展乘数在用户设备和基站元件中生成多个共享密钥的相关技术来阐明实施方式。然而,应当理解,权利要求的范围不限于所公开的特定类型的通信系统和/或密钥生成和选择过程。实施方式可以在多种其他类型的通信系统中实现,使用替代的过程和操作。例如,尽管在使用诸如LTEEPC之类的3GPP系统元件的无线蜂窝系统的背景下进行了说明,但是所公开的实施方式可以直接适应于各种其他类型的通信系统,包括WiMAX系统,Wi-Fi系统等。图1示出了包括经由空中接口103与演进节点B(eNB)104进行通信的用户设备(UE)102的通信系统100。在该说明性实施方式中,通信系统100包括无线蜂窝系统,更具体地,LTE系统。用户设备102可以是移动台,并且这样的移动台可以包括例如移动电话,计算机或任何其他类型的通信设备。因此,本文使用的术语“用户设备”旨在被广义地解释,以便包括各种不同类型的移动台,用户台或更一般地,通信设备,包括例如插入笔记本的电脑数据卡的组合。这样的通信设备还旨在包括通常被称为“接入终端”的设备。eNB104示例性地是通信系统100的接入网络的一部分。这样的接入网络可以包括例如具有多个基站和一个或多个相关无线电网络控制器(RNC)的E-UTRAN。基站和RNC是逻辑上分离的实体,但是在给定的实施方式中,可以在相同的物理网元中实现,例如基站路由器或毫微微蜂窝接入点。本实施方式中的eNB104通过移动性管理实体(MME)106连接至归属用户服务器(HSS)108。eNB104还经由服务网关(SGW)110和分组数据网络(PDN)网关(PGW)112与互联网114连接。应当理解,系统元件的这种特定布置仅仅是示例,并且在其他实施方式中可以使用其他类型和布置的附加或替代元件来实现LTE系统。例如,在其他实施方式中,系统100可以包括认证服务器,例如3GPP认证,授权和计费(AAA)服务器。因此,图1的布置仅是无线蜂窝系统的一个示例性配置,可以使用系统元件的许多替代配置。例如,尽管在图1实施方式中仅示出了单个用户设备,eNB,MME,HSS,SGW和PGW元件,但是这仅仅是为了简单和清楚。给定的替代实施方式当然可以包括更多数量的这些系统元件,以及通常与常规系统实现相关联类型的附加或替代元件。上述3GPP标准TS33.401描述了在UE和eNB元件之间建立安全关联以保护通过空中接口发送的LTE控制和用户平面通信的技术。该安全关联被定义为由UE和MME元素使用成功的认证和密钥协商(AKA)过程的结果相互计算的共享密钥KeNB。更具体地,由成功的AKA过程产生的中间共享密钥KASME由UE和MME元件用于独立地生成共享密钥KeNB。由MME生成的共享密钥KeNB由MME发送至eNB,并保留在eNB中,直到被刷新或更新为止。应当注意,3GPP标准的最近添加提供了小小区扩展能力。该能力允许UE元件同时连接到宏小区eNB(MeNB)和小型小区eNB(SeNB)。SeNB的安全密钥被表示为S-KeNB,由MeNB生成并由MeNB提供给SeNB,其也由UE单独计算。在一些操作情况下,S-KeNB也被刷新或更新。作为示例,如果UE通过给定基站(其可以包括eNB,MeNB或SeNB)发送的数据量接近分组数据计数器(本文档来自技高网...
【技术保护点】
一种方法,该方法包括:至少部分基于指定的密钥扩展乘数在通信系统的用户设备中生成多个密钥;在所述用户设备中从所述通信系统的基站接收密钥标识符;在所述用户设备中根据所接收到的密钥标识符来选择所述密钥中的一个特定密钥;以及使用所述密钥中的所选择的一个密钥来保护从所述用户设备发送到所述基站的数据。
【技术特征摘要】
【国外来华专利技术】2014.10.29 US 14/527,2311.一种方法,该方法包括:至少部分基于指定的密钥扩展乘数在通信系统的用户设备中生成多个密钥;在所述用户设备中从所述通信系统的基站接收密钥标识符;在所述用户设备中根据所接收到的密钥标识符来选择所述密钥中的一个特定密钥;以及使用所述密钥中的所选择的一个密钥来保护从所述用户设备发送到所述基站的数据。2.如权利要求1所述的方法,其中所述密钥包括由所述用户设备响应于从所述基站接收到的消息而生成的密钥流的相应部分,并且其中所述密钥通过在所述基站中独立生成所述密钥流而由所述用户设备和基站共享。3.如权利要求1所述的方法,其中所述密钥包括KeNB密钥的索引序列,所述KeNB密钥的索引序列通过在所述基站中独立生成所述KeNB密钥的索引序列而由所述用户设备和基站共享,并且其中所述KeNB密钥的索引序列中的KeNB密钥的总数由所述密钥扩展乘数指定。4.如权利要求1所述的方法,该方法还包括响应于确定来自所述基站的消息中没有所述密钥扩展乘数的显式值,以其他方式期望包含所述显式值,而将所述密钥扩展乘数设置为预定的默认值。5.如权利要求1所述的方法,其中所述密钥扩展乘数和所述密钥标识符中的至少一个是从所述基站在至少一个无线电资源控制(RRC)安全模式命令中接收的。6.如权利要求1所述的方法,该方法还包括:在所述用户设备中响应于触发条件而从所述基站接收另一个密钥标识符;在所述用户设备中根据所接收到的其他密钥标识符来选择所述多个密钥中的另一个密钥;以及使用所述多个密钥中的所选择的其他一个密钥来保护从所述用户设备发送到所述基站的数据;其中所述触发条件包括密钥刷新条件、密钥更新条件以及基站切换条件中的至少一个。7.一种制品...
【专利技术属性】
技术研发人员:S·米兹科夫斯基,S·奈尔,
申请(专利权)人:阿尔卡特朗讯公司,
类型:发明
国别省市:法国,FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。